新书推荐 | 《Android应用安全测试与防护》(中奖名单公布)

阅读量    126041 | 评论 61

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

前言

2014 年初,移动互联网产业快速发展,App 井喷式爆发,绝大多数使用的是 Android 系统。但是那时候大多数的开发者没有做好 App 的安全防护措施,面对移动互联网黑灰产的攻击,App 基本上处于“裸奔”状态。那些年,我们可以看到很多真实的 App 攻击案例:

  • *针对某款无人机,攻击者通过攻击操作者终端的 App,实现对无人机的远程劫持,重现 2014 年热门科幻电影《星际穿越》中的场景。
  • *针对特斯拉汽车,攻击者通过攻击车主终端的 App,实现对汽车远程开关门等恶意控制。
  • *针对日本最大马桶公司 Laxil 生产的智能马桶,攻击者通过攻击 App,实现远程控制,比如让坐浴喷水超过 1 米高、激活各种功能,使用户陷入窘境。

近年来,随着 App 的客户越来越多,被攻击的情况也越发增加,而且相比网站防御 ,App 防御难点很多。

App 仍然普遍存在大量的安全问题。例如,apk 文件反编译后暴露关键业务逻辑代码,网络通信使用明文传输关键业务数据,受限服务接口未经授权可远程任意访问,本地敏感数据未经加密可被其他 App 直接读取,等等。

很多 App 的安全防御能力都很薄弱,易被攻击,其中不仅有金融、支付、保险等领域的App,还有物联网 App 和车载 App 等。这些存在安全问题的 App 通过应用商店发布后,攻击者可以利用以上缺陷和漏洞对 App 进行逆向破解,导致 App 开发者不得不面临 App 被破解篡改、版权被盗用、用户信息泄露、交易支付被劫持等诸多烦恼,还可能因为严重的信息泄露问题不得不承担法律责任。

为了避免上述安全问题,对 App 进行安全测试就显得尤为必要。但是目前市场上没有公开、统一的安全测试标准,同时,安全企业又各有各的安全测试标准,这就导致 Android 开发者和测试人员没有渠道可以全面了解安全测试的标准和规范。

为了让每一个 App 开发者都能做一个具有安全经验的开发者,并从源头上避免最常见的安全风险点,让爱好者一开始就有一个 App 安全测试的思维模型雏形。

一线安全从业者将多年积累的安全测试经验整理成册, App 安全“红宝书”就此诞生!

这本书是市面上唯一一本讲解 Android 应用安全的入门书,涵盖 Android 应用 5 大类 55 项安全测试的要求与方法。对新手十分友好,将理论与实践充分结合起来,通过安全测试+安全防护,实现完美闭环,全方位精准提升 App 安全。

那么这本书有哪些特色呢?我们来具体看看。

 

全书内容概述

第 1 章,作者首先介绍安全基础。包括 App 安全测试过程中所需要了解的 Android App 安全基础,如 Android App 的生成和运行过程、Android 系统的安全模型。

第 2 章,介绍测试工具。包括 App 安全测试过程中所需要使用的测试分析工具,从静态分析、动态分析、抓包分析、挂钩框架 4 个方面具体介绍 10 种以上必要工具的使用方法。

第 3~8 章,讲解安全测试。从如何识别 App 中的信息资产入手,分析移动应用业务所涉及的关键信息资产,并深入分析移动应用生命周期中涉及的关键信息资产可能在什么地方遭受攻击,帮助读者进行 App 攻击面的理解和识别,总结 App 所涉及的信息资产和安全测试框架。在此基础上,对不同攻击面可能产生的安全问题进行分类和梳理。

其中,第 4~8 章分别从程序代码、服务交互、本地数据、网络传输和鉴权认证这 5 个方面提出 App 安全测试要求,并形成相应的安全测试方法。

第 9~12 章,主要讲解安全防护。第 9 章介绍 Android App 的安全防护基础和加固技术。目前加固技术相对神秘,对加固技术进行详细介绍的图书很少,这一章会详细讲解 Android App 安全加固,分析第一代加固到第四代加固技术。

第 10 章和第 11 章,分别从静态防护和动态防护两个方面详细介绍 Android App 加固技术的原理。第 12 章介绍如何对加固后的 Android App 进行脱壳,并通过实例讲解具体的脱壳步骤。

市场上第一本详细讲解

Android 应用安全评测技术的书

《Android应用安全测试与防护》

何能强,阚志刚,马宏谋 著

本书是市场上第一本详细讲解 Android 应用安全评测技术的书。从实际应用出发,侧重实战,深入浅出地讲解应用安全测试内容。涵盖 Android 应用 5 大类 55 项安全测试的要求与方法。主要内容包括安全基础、测试工具、安全测试和安全防护四个部分,是 Android 应用安全入门必读书。

适合读者:
  • *Android 开发者
  • *安全测试工程师
  • *App 安全业务人员
  • *安全测试零基础的在校大学生
  • *对 Android 应用安全测试感兴趣的所有人

 

作者介绍

何能强,博士,毕业于清华大学电子工程系,国家互联网应急中心(CNCERT/CC)高级工程师,长期从事国家级移动互联网网络安全应急响应和安全防护工作,出版网络安全领域的著作 1 部、译著 1 部,牵头发布通信行业标准十余项,以第一作者获得国家发明专利授权 4 项,出版移动互联网安全年报 3 本,发表 SCI、EI 等学术论文十余篇,负责中国互联网网络安全威胁治理联盟、中国反网络病毒联盟等主要工作。

 

阚志刚,博士,梆梆安全董事长兼首席执行官,于 2010 年创立梆梆安全,一直致力于为用户打造安全的移动应用生态环境,保障万物互联时代下的智能生活。2018 年当选国家“万人计划”科技创业领军人才,2016 年当选科技部“科技创新创业人才”,2012 年当选中关村“高端领军人才”。

 

马宏谋,某知名互联网安全公司安全部门副主任,参与过多个安全评测和恶意代码深度逆向分析项目,具有 8 年以上的 PC 端和移动端病毒分析经验,逆向分析实战经验丰富。

 

众多互联网大佬和安全专家联袂推荐

随着传感和移动计算技术的不断进步,App 通过收集和计算移动终端数据为用户提供各种个性化服务越来越普遍。然而,数据泄露等安全问题也随之而来。为了给用户提供更加安全可靠的服务,开发者需要知道 App 到底会存在哪些安全问题,如何发现问题、加强防护。建议 App 开发者一定要读这本书,从而掌握 App 安全测试的具体方法,了解 App 安全加固的具体思路,大大提升 App 的安全性。

—— 曹建农,香港理工大学电子计算学系讲座教授、互联网与移动计算实验室主任

移动 App 安全问题的解决,既需要通过移动 App 安全测试来检测,也需要在移动 App 设计、开发、发布过程中进行主动的防护。这本书从 Android 系统的安全模型以及 Android 应用的生成和运行原理讲起,全面介绍了各种安全测试工具、安全测试方法、静态加固技术、动态加固技术以及应用脱壳的知识,是一本 Android 应用安全入门“All in One”的好书,非常适合Android 应用安全测试人员与开发人员阅读。

—— 谭晓生,中国计算机学会副秘书长,北京赛博英杰科技有限公司董事长

安全测试与安全防护是提升App 安全性的两大途径,本书兼顾两方面的内容,系统翔实地介绍了 App 安全测试的工作思路和测试方法,同时解密了大家都关心的 App 安全加固技术,内容丰富,实战性强,从事 App 安全工作的读者值得一读。

—— 范渊,杭州安恒信息技术股份有限公司董事长、总裁

本书从安全测试的视角展开,介绍了 Android 软件安全相关的知识,讲解了软件测评与加固技术等在实际应用中涉及的知识点,读者能从中学习到不少前沿的技术干货。

—— 丰生强,《Android 软件安全与逆向分析》《Android 软件安全权威指南》作者

如果你正因为 App 安全而烦恼,那不妨来看看这本,没准正是你需要的!

 

文末福利

这次安全客免费为大家提供了5《Android应用安全测试与防护》!有以下两种获取方式,大家自取哦~

获奖方式1直接在本文留言处评论(不得少于15个字),我们将抽取点赞数最高的3名用户每人赠送一本《Android应用安全测试与防护》

注意:请务必登录之后评论,不然评论概不做效。

获奖方式2关注安全客官方微博,在下方微博关注、转发、点赞、并留言,我们会随机抽取2名用户,赠送《Android应用安全测试与防护》  !

关注转发点赞留言一个都不能少哦~赶紧点击下方链接去微博看看吧~

微博活动链接:https://weibo.com/3957583411/J6LDJwBYT

注意:本次活动是在安全客官网和微博同步进行,两边都参与,提高中奖率!

开奖时间:2020年6月19日11:30

 

中奖名单公布

相信大家能够看到,这次的活动评论区确实出现了刷赞行为,当然这也并不是第一次了,安全客向来不支持不鼓励刷赞,但是这次刷赞行为还是出现了,很抱歉我们目前对刷赞行为行为无能为力,但这个活动确实还有3本书待开奖,小编们想了很多办法,无论是给点赞最高的三个人,还是重新随机抽取,还是重新再次抽奖,都会出现别的的声音“我的赞不是我自己刷的,是别人帮我刷的,我也不知道”“随机抽取你怎么就能确保是随机的呢?小编偏心怎么办”“重新抽奖那我之前的评论不是白评了”……很无奈,小编确实没办法保证公平。我们决定,在不能杜绝刷赞行为的同时,安全客今后将不会轻易采取点赞的方式进行抽奖。

但这次的新书抽奖该怎么办呢,小编用自己的方式选出了三位中奖者。或许这也不是绝对的公平,但这已经是小编能想到的最好的办法,如果你仍对这个结果表示不满,那我十分抱歉。

中奖昵称

安全客原创作者:p1ump

理由:安全客是一个分享知识的安全媒体网站,有无数作者的坚持分享才能让大家共同进步,p1ump是评论中唯一一位认证的原创作者,所以第一本书我想送给我们的原创作者p1ump。

中奖昵称

安全客活跃用户:阿诚

理由:安全客除了作者之外,还有无数用户,用户们广泛讨论,积极活跃,才有了安全客的活力和继续开展的动力。阿诚是这次评论用户中参与安全客讨论最多的用户,之前我们也能经常在大大小小的活动中看到阿诚的身影,所以第二本书送给我们可爱的忠实用户阿诚。

中奖昵称

点赞最高用户:陈真

理由:本次活动本是点赞最高的选手获得,但由于出现了刷赞用户,我们不能,也不想按照这样的规则公布3位获奖用户,但是小编认为我也应该为自己的考虑不周买单。所以最后一本书给我们的点赞最高用户陈真。这个赞或许是真实的,或许是别人无意刷的,或许有很多个或许,但我要向广大用户以及陈真抱歉,小编目前无法分辨,所以不能还你清白。但希望这一本《Android应用安全测试与防护》可以让你更强大,也能让所有的安全客用户更强大,让我们一起努力学习,逐渐进步,建设更有效完善的机制和体系,共同维护网络安全!

恭喜以上小伙伴获得《Android应用安全测试与防护》 一本, 请在6月24日18:00前,加入安全客活动3群:830462644,联系管理员@安全客发送邮寄地址吧~

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多